Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Pc infetto.

2 pages: [1] 2
Pc infetto. Opzioni
Topic Precedente · Topic Sucessivo
forgotten93
Inviato: Monday, December 13, 2010 3:53:03 PM
Rank: AiutAmico

Iscritto dal : 8/9/2009
Posts: 124
Ho fatto una scansione completa con malwarebytes aggiornato all'ultima versione, ma non so perchè non mi ha segnalato nulla. Cosa strana visto che proprio durante la scansione di Malw.Bytes, sono apparse per 4 volte le finestre di Alert di Avira che mi segnalavano dei file infetti tra i quali 2 Trojan Sinowal identici..e li ho messi tutti in quarantena. Vorrei capire anche se questo trojan è così terribile come ho letto in giro. Comunque vi posto il log di Mb e quello di Hijackthis. Ora ho installato anche Zemana Antilogger e vorrei lanciare Combofix. Che mi dite? La pulizia con cccleaner l'ho già fatta. Grazie =)



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.44.02, on 13/12/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Mario\Impostazioni locali\Dati applicazioni\Google\Update\1.2.183.39\GoogleCrashHandler.exe
C:\Programmi\RALINK\Common\RaUI.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ASTSRV.EXE
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Documents and Settings\Mario\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Documents and Settings\Mario\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\Mario\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Mario\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Mario\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Mario\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Programmi\AntiLogger\AntiLogger.exe
C:\Programmi\Nokia\Ovi\One Touch Access\One Touch Access\OneTouchAccess.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Documents and Settings\Mario\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programmi\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [NokiaMServer] C:\Programmi\File comuni\Nokia\MPlatform\NokiaMServer /watchfiles startup
O4 - HKLM\..\Run: [Nokia FastStart] "C:\Programmi\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NokiaMusic FastStart] "C:\Programmi\Nokia\Ovi Player\NokiaOviPlayer.exe" /command:faststart
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AntiLogger] "C:\Programmi\AntiLogger\AntiLogger.exe" /minimized
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PMCRemote] C:\Programmi\Pinnacle\Shared Files\\Programs\Remote\Remoterm.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Mario\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programmi\RALINK\Common\RaUI.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/it/uno1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Nalpeiron Licensing Service (ASTSRV) - Nalpeiron Ltd. - C:\WINDOWS\system32\ASTSRV.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Servizio di Google Update (gupdate1ca136b7c496576) (gupdate1ca136b7c496576) - Unknown owner - C:\Programmi\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 9262 bytes



Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Versione database: 5304

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13/12/2010 14.31.58
mbam-log-2010-12-13 (14-31-58).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 250328
Tempo trascorso: 4 ore, 11 minuti, 57 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)
Torna in alto
 
Sponsor
Inviato: Monday, December 13, 2010 3:53:03 PM

 
Torna in alto
 
himaco
Inviato: Monday, December 13, 2010 8:00:50 PM
Rank: AiutAmico

Iscritto dal : 12/7/2010
Posts: 269
Rilancia Hijackthis:
Do a System Scan Only
spunta la casellina fianco di ogni singola voce che ti indicherò sotto
● una volta spuntate le voci:
chiudi tutte le applicazioni aperte
chiudi tutte le pagine del browser aperte
● in Hijackthis fixa le voci cliccando su Fix checked

Queste le voci da fixare:

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [NokiaMServer] C:\Programmi\File comuni\Nokia\MPlatform\NokiaMServer /watchfiles startup
O4 - HKLM\..\Run: [Nokia FastStart] "C:\Programmi\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NokiaMusic FastStart] "C:\Programmi\Nokia\Ovi Player\NokiaOviPlayer.exe" /command:faststart
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PMCRemote] C:\Programmi\Pinnacle\Shared Files\\Programs\Remote\Remoterm.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Mario\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/it/uno1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

Poi:
start esegui e digita:
sc delete gupdate1ca136b7c496576 service

Copia e incolla il comando sopracitato, per non fare pasticci.

Importante: hai installato tu questo programma? AntiLogger

Poi:

scarica Norman SinowalMBR Cleaner: http://download.norman.no/public/Norman_Sinowal_Cleaner.exe
● salvalo sul Desktop
● avvia il PC in Modalità Provvisoria: http://windows.microsoft.com/it-IT/windows-vista/Start-your-computer-in-safe-mode
● doppio click sull'icona di Norman SinowalMBR Cleaner.exe che hai salvato sul desktop
● clicca su Accept
● clicca su Start Scan
● al termine della scansione, viene generato un log sul desktop chiamato NFix_2008-MM-GG_hh-mm-ss.log, allegalo

Per allegare il log utilizza questo servizio di upload: http://wikisend.com
e, pubblica il Forumlink che verrà rilasciato dopo il caricamento del file.
Torna in alto
 
forgotten93
Inviato: Monday, December 13, 2010 10:30:42 PM
Rank: AiutAmico

Iscritto dal : 8/9/2009
Posts: 124
Ho fixato le voci, scaricato il programma ed ora lo faccio partire in modalità provvisoria.
Si zemana antilogger l'ho installato stamane..lìho anche scritto su :) Ma mi sono accorta che è abbastanza inutile come programma..mi occupa solo ram. Che faccio, lo disinstallo?

Posto presto il log. Grazie :)
Torna in alto
 
forgotten93
Inviato: Tuesday, December 14, 2010 12:00:14 PM
Rank: AiutAmico

Iscritto dal : 8/9/2009
Posts: 124
Questo è il Log.
http://wikisend.com/download/930586/NFix_2008-MM-GG_hh-mm-ss.log.log
Torna in alto
 
himaco
Inviato: Tuesday, December 14, 2010 2:19:24 PM
Rank: AiutAmico

Iscritto dal : 12/7/2010
Posts: 269
Ciao. Disinstalla AntiLogger.

Scarica Combofix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Nota:
● il programma devi scaricarlo preferibilmente con Internet Explorer

Posiziona Combofix sul Desktop ed esegui queste operazioni preliminari:
● disconnettiti da Internet
● sconnetti, fisicamente, il modem/router dal Computer

E' assolutamente necessario, se attivo:
disattivare l'Antivirus in uso, dall'icona presente sulla traybar (accanto all'orologio di Windows)
disattivare il Firewall eventualmente installato, dall'icona presente sulla traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:
● lancia ComboFix con un account con privilegi di Amministratore e segui le istruzioni che verranno rilasciate per eseguire la scansione
● verrà richiesta la installazione della Console di ripristino di emergenza: non la installare
● senza eseguire nessuna altra operazione, lascia che il tool completi la scansione e la fase di creazione del log

Note - durante la scansione:
● verranno creati alcuni file sul Desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall, se attivo, potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer, qualora già non ci fosse

Quando Combofix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente (in caso contrario, riavvialo tu)
● ricollega, fisicamente, il modem/router al Computer
● connettiti a Internet
● vai in Disco Locale C:, cerca il log dal nome combofix.txt ed allegalo

Per allegare il log utilizza questo servizio di upload: http://wikisend.com
e, pubblica il Forumlink che verrà rilasciato dopo il caricamento del file.
Torna in alto
 
forgotten93
Inviato: Tuesday, December 14, 2010 2:30:49 PM
Rank: AiutAmico

Iscritto dal : 8/9/2009
Posts: 124
Ciao, Combofix già l'ho scaricato tempo fa. Ora lo faccio partire e dopo posto il Log, Graziee :)
Torna in alto
 
himaco
Inviato: Tuesday, December 14, 2010 2:41:37 PM
Rank: AiutAmico

Iscritto dal : 12/7/2010
Posts: 269
Di nulla.
Aspetto il log, e che tu segua le mie indicazioni; ciao!
Torna in alto
 
forgotten93
Inviato: Tuesday, December 14, 2010 3:57:01 PM
Rank: AiutAmico

Iscritto dal : 8/9/2009
Posts: 124
Log di combofix ;D
log.txt
Torna in alto
 
himaco
Inviato: Tuesday, December 14, 2010 8:42:42 PM
Rank: AiutAmico

Iscritto dal : 12/7/2010
Posts: 269
Ciao.
Esegui queste pulizie di "primavera", al fine di migliorare lo stato di salute del tuo sistema operativo.

Disattiva il Ripristino Configurazione Di Sistema, e tienilo disattivato sino alla Risoluzione del Problema:
● clicca su Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma la modifica, con Applica e, poi OK
riavvia il sistema, ripeti la stessa procedura e riattiva il Ripristino Configurazione di Sistema

Scarica ATF Cleaner: http://www.atribune.org/ccount/click.php?id=1
● avvia il tool con un doppio click
● seleziona la casella Select All
● clicca sul pulsante Empty selected
● aspetta l'avviso Done Cleaning
(se usi Opera o Firefox, esegui la loro pulizia, cliccando sul tab in alto)
● una volta concluse le operazioni, chiudi il programma

Scarica ed installa CCleaner: http://www.piriform.com
Nota - durante l'installazione:
non consentire l'installazione di nessun altro componente aggiuntivo (Toolbar e programmi vari) esterno al programma

Una volta installato, configuralo in questo modo:
● lancia il programma, nel menù di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
Impostazioni
● spunta la voce Tipo cancellazione: Sicura (lenta) e nel menù a tendina seleziona la voce DOD 5220.22-M (3 passaggi)
Successivamente clicca su:
Avanzate
● togli la spunta alla voce Cancella file in Windows Temp solo se più vecchi di 24 ore
● alla voce Pulizia nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori Aggiornamenti di Windows
● clicca sul tasto Avvia pulizia per avviare la pulizia dei file temporanei
● finita la scansione, sempre nel menù a sinistra, clicca sulla voce Registro e spunta tutte le voci eccetto:
Estensioni file non usate
● clicca sul tasto Trova Problemi per avviare la pulizia delle voci di registro corrotte e danneggiate
● al termine della scansione clicca sulla voce Ripara selezionati... e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)
● una volta terminate le operazioni, chiudi il programma

Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe
● posiziona il tool sul Desktop
chiudi tutti i programmi attivi
● doppio click per eseguirlo
● clicca su CleanUp
● ti chiederà di riavviare il sistema
● clicca Yes

Scarica TFC by OldTimer: http://oldtimer.geekstogo.com/TFC.exe
● posiziona il tool sul Desktop
chiudi tutti i programmi attivi
● avvia TFC by OldTimer, clicca su Start
● al termine della scansione ti chiederà di riavviare il sistema
● clicca Ok
● una volta terminate le operazioni, chiudi il programma

Svuota del suo contenuto la cartella Prefetch, seguendo questa semplice procedura:
● clicca su Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che saranno visualizzate, la cartella Windows, aprila e individua la cartella Prefetch
● aprila ed elimina tutte le voci conservate al suo interno (mi raccomando di non eliminare la cartella)

Lancia Hijackthis e pulisci gli ADS in questo modo:
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● attendi pazientemente il termine della scansione
● se venissero rilevati ADS, spunta tutte le caselline, senza alcuna paura, e clicca su Remove selected

Pulisci la cache di Java:
● clicca su Start
● apri il Pannello di Controllo
● clicca sull'icona Java
● si aprirà il Pannello di Controllo di Java
● nel tab Generale, nella sezione File temporanei Internet, clicca su Impostazioni
● nella finestra che si aprirà clicca su Elimina File
● nella finestra che si aprirà spunta, se non lo fossero, le uniche due voci presenti: Applicazioni e applet e File traccia e registro
● clicca sul pulsante OK 3 volte, prima di poter concludere la semplice procedura

Una volta terminate le pulizie, allega un nuovo log di Hijackthis, aggiornandomi sulla situazione del tuo sistema.
Torna in alto
 
forgotten93
Inviato: Tuesday, December 14, 2010 9:49:18 PM
Rank: AiutAmico

Iscritto dal : 8/9/2009
Posts: 124
Ok farò tutto quel che mi hai detto ;D

Nel frattempo ho fatto anche una scansione con Avira che mi ha trovato un altro file infetto;
AVSCAN-20101214-184929-A219F442.LOG

Grazie mille per la disponibilità :D
Torna in alto
 
r16
Inviato: Tuesday, December 14, 2010 9:58:34 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
forgotten93 ha scritto:
Ciao, Combofix già l'ho scaricato tempo fa. Ora lo faccio partire e dopo posto il Log, Graziee :)

Ciao.
Non si tiene nel pc, una versione vecchia di Combofix.
Pensa, che detto programma, può essere aggiornato (non da te, ma dal programmatore) anche diverse volte al giorno.
Per cui, è inutile tenerlo sul pc più di 2-3 giorni.

Molto probabilmente, hai l'MBR infetto.

Scarica SYSTEM SCAN.

scaricalo sul desktop.
http://www.zeusnews.it/zz_upload/PSV/sys36982.exe.zip
Aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now"
Finita la scansione verrà rilasciato (sempre sul desktop all'interno della cartella suspectfile)un report.

Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.

NB:
la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così.
SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.
Torna in alto
 
forgotten93
Inviato: Tuesday, December 14, 2010 10:11:18 PM
Rank: AiutAmico

Iscritto dal : 8/9/2009
Posts: 124
r16 ha scritto:
Ciao.
Non si tiene nel pc, una versione vecchia di Combofix.
Pensa, che detto programma, può essere aggiornato (non da te, ma dal programmatore) anche diverse volte al giorno.
Per cui, è inutile tenerlo sul pc più di 2-3 giorni.


Ciao r16. Sinceramente non lo sapevo che non si poteva tenere, infatti quando l'ho lanciato non è partito perchè effettivamente era una versione datata e ho dovuto scaricarlo nuovamente :).

Allora faccio prima questa scansione e poi le pulizie che mi ha scritto Himako. Graziee
Torna in alto
 
r16
Inviato: Tuesday, December 14, 2010 10:32:59 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
Allora faccio prima questa scansione e poi le pulizie che mi ha scritto Himako. Graziee

No.
Prima fai le pulizie, e poi la scansione. Drool
Torna in alto
 
forgotten93
Inviato: Wednesday, December 15, 2010 10:32:32 AM
Rank: AiutAmico

Iscritto dal : 8/9/2009
Posts: 124
Ciao :)

Log di HJT fatto dopo le pulizie:
hijackthis.log

Log di SystemScan:
report.txt
Torna in alto
 
himaco
Inviato: Wednesday, December 15, 2010 1:52:23 PM
Rank: AiutAmico

Iscritto dal : 12/7/2010
Posts: 269
Ciao Forgotten; nonostante il tuo Nickname, io non ti ho dimenticato.

Start\ Esegui\ copia-incolla questo comando:

control userpasswords2 e clicca Ok.

In "Nome Utente", vedrai questo account:

HelpAssistant

Lo selezioni, e clicca su "Rimuovi".

Poi segui questo percorso, ed elimina TUTTE le cartelle denominate "HelpAssistant"

c:\documents and settings\HelpAssistant

Svuota il cestino.

Riavvia il pc.


Scarica Stealth MBR rootkit detector: http://www2.gmer.net/mbr/mbr.exe
● mettilo direttamente nella Directory C:\
riavvia il sistema in Modalità Provvisoria: http://windows.microsoft.com/it-IT/windows-vista/Start-your-computer-in-safe-mode
● Start - Esegui - digita C:\mbr.exe -f
● clicca su OK
NB - C'è uno spazio vuoto tra "C:\mbr.exe" e "-f"
● recati in C:/ e allega il file mbr.txt per un ulteriore controllo

Comunicami la situazione del tuo PC.
Ciao! Drool
Torna in alto
 
forgotten93
Inviato: Wednesday, December 15, 2010 2:34:02 PM
Rank: AiutAmico

Iscritto dal : 8/9/2009
Posts: 124
himaco ha scritto:
Ciao Forgotten; nonostante il tuo Nickname, io non ti ho dimenticato.


Ciao, ahahah, meno male ;D


himaco ha scritto:
Poi segui questo percorso, ed elimina TUTTE le cartelle denominate "HelpAssistant" (le cartelle in rosso)

c:\documents and settings\HelpAssistant


Scusa, ma questo passaggio non l'ho capito! Quando apro il percorso, non c'è neanche una cartella denominata HelpAssistant (cartelle in rosso?) almeno che non devo eliminare tutta la cartella Help Assistant che si trova in Documents & Settings. Ma quel percorso mi porta dentro quella cartella. E dentro non c'è nessuna cartella che si chiama così!
Torna in alto
 
himaco
Inviato: Wednesday, December 15, 2010 2:36:29 PM
Rank: AiutAmico

Iscritto dal : 12/7/2010
Posts: 269
Elimina la cartella HelpAssistant, poi prosegui con le indicazioni.
Torna in alto
 
forgotten93
Inviato: Wednesday, December 15, 2010 3:05:12 PM
Rank: AiutAmico

Iscritto dal : 8/9/2009
Posts: 124
Himaco, questo è il Log:


Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6L160P0 rev.BAJ41G20 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-12

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 320143320

--
Mica dovevo disattivare il ripristino? No, perchè dopo le pulizie e la scansione l'ho riattivato ;D
Poi vorrei chiederti cos'era quell'account utente "HelpAssistant". Grazie Drool
Torna in alto
 
himaco
Inviato: Wednesday, December 15, 2010 3:18:29 PM
Rank: AiutAmico

Iscritto dal : 12/7/2010
Posts: 269
Ciao.
L'account HelpAssistant è creato da una Rootkit all'MBR.

Scarica Stealth MBR rootkit detector: http://www2.gmer.net/mbr/mbr.exe
● mettilo direttamente nella Directory C:\
riavvia il sistema in Modalità Provvisoria: http://windows.microsoft.com/it-IT/windows-vista/Start-your-computer-in-safe-mode
● Start - Esegui - digita C:\mbr.exe e clicca su OK
● la scansione dura 1 secondo
● recati in C:/ e allega il file mbr.txt per un controllo

Per allegare il log utilizza questo servizio di upload: http://wikisend.com
e, pubblica il Forumlink che verrà rilasciato dopo il caricamento del file.

Poi:

Recati in C:/ e cestina il file mbr.txt
● Start - Esegui - digita C:\mbr.exe -f
● clicca su OK
NB - C'è uno spazio vuoto tra "C:\mbr.exe" e "-f"
● recati in C:/ e allega il file mbr.txt per un ulteriore controllo

Per allegare il log utilizza questo servizio di upload: http://wikisend.com
e, pubblica il Forumlink che verrà rilasciato dopo il caricamento del file.
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: [1] 2

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Pc infetto.


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.